[erledigt] Routing Konfiguration für Wireguard Site-to-Site?

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Herbert0815
Beiträge: 2
Registriert: 27.01.2023 12:14:14

[erledigt] Routing Konfiguration für Wireguard Site-to-Site?

Beitrag von Herbert0815 » 27.01.2023 12:24:38

Hi

mußte meinen WG-Client (Debian 11) neu aufsetzen (hat vorher so funktioniert) nur leider blicke ich das notwendige Routing nicht bzw. wo es hackt. Erschwerend kommt hinzu dass ich nur eine Aufzeichnung von net-tools und nicht wie jetzt iproute2 habe. Die WG Verbindung funktioniert und auf dem Client selbst kann ich auch Netzteilnehmer hinter dem Server anpingen.

Nur Netzteilnehmer (192.168.0.x) hinter dem WG-Client (192.168.0.179 enp1s0 / 10.0.1.2 wgclient0) kommen nur bis an den WG-Client (192.168.0.179) aber nicht an den Tunnel (Anfang oder Ende etc.).

Was stimmt mit meiner Routingtabelle auf dem WG-Client nicht?
Wie bekomme ich Anfragen an 192.168.7.0/24 nicht nur über lokale Routes bis zum 192.168.0.179 (wg-client) sondern auch auf dem WG-Client geroutet in den Tunnel hinein?

So sieht es derzeit auf dem wg-client aus:

Code: Alles auswählen

pi@iobroker:~$ ip route show
default via 192.168.0.1 dev enp1s0
10.0.1.0/24 dev wgclient0 proto kernel scope link src 10.0.1.2
169.254.0.0/16 dev enp1s0 scope link metric 1000
192.168.0.0/24 dev enp1s0 proto kernel scope link src 192.168.0.179
192.168.7.0/24 dev wgclient0 scope link


so laufen die Anfragen bis zum WG-Client aber dann ins Leere:

Code: Alles auswählen

C:\Windows\system32>tracert 192.168.7.20

Routenverfolgung zu 192.168.7.20 über maximal 30 Hops

  1     1 ms     1 ms    <1 ms  192.168.0.179
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3     *        *        *     Zeitüberschreitung der Anforderung.
Besten Dank!

Edit:

Zum besseren Verständnis eine Skizze:
Bild

Im Netzwerk 192.168.7.x ist alles ok
Auf dem WG-Client 192.168.0.179 auch alles ok
Nur ein Netzteilnehmer kommt mit ping 192.168.7.20 nur bis 192.168.0.179 und nicht bis in den Tunnel und weiter.
Denke dort fehlt/funktionier ein Routing auf den WG-Client nicht. Warum?

Herbert0815
Beiträge: 2
Registriert: 27.01.2023 12:14:14

Re: [erledigt] Routing Konfiguration für Wireguard Site-to-Site?

Beitrag von Herbert0815 » 27.01.2023 20:37:22

Ist erledigt und mir wurde geholfen.

Die Lösung lag in der Konfiguration der nftables.conf die mir fehlte:

Code: Alles auswählen

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
    chain input {
        type filter hook input priority 0; policy accept;
    }
    chain forward {
        type filter hook forward priority 0; policy accept;
    }
    chain output {
        type filter hook output priority 0; policy accept;
    }
}

table ip nat {
    chain postrouting {
              type nat hook postrouting priority srcnat; policy accept;
        oifname "wgclient0" masquerade
        oifname "enp1s0" masquerade
    }
}

mat6937
Beiträge: 2926
Registriert: 09.12.2014 10:44:00

Re: [erledigt] Routing Konfiguration für Wireguard Site-to-Site?

Beitrag von mat6937 » 29.01.2023 10:46:11

Herbert0815 hat geschrieben: ↑ zum Beitrag ↑
27.01.2023 20:37:22
... mir wurde geholfen.
Hier?

Antworten